¿Por qué no hay una contraseña más segura que un nombre de usuario + contraseña?

Han configurado las computadoras portátiles para activar una conexión VPN y solo hablar con "base" después de que ingresen a la red. Eso significa que si hay un "portal cautivo" local que requiere que ingrese las credenciales, no podrá usarlo, ya que eso requeriría evadir la VPN.

(Es una cosa de gallina y huevo. ¡Sin VPN, sin capacidad de llegar al portal, sin portal, sin capacidad de girar la VPN!)

Es más seguro porque garantizan que, independientemente de la conexión que tenga, cualquier tráfico de red que envíe pase por la red de su empresa, los controles de su empresa y no esté sujeto a la intercepción o manipulación por parte de ninguna otra parte.

Desafortunadamente, rompe el caso de la tecnología inalámbrica con un "portal cautivo", pero permitir ese caso reduciría su seguridad al permitir que su máquina hable directamente con máquinas arbitrarias en lugar de a través de la VPN.

El servicio "eduroam" que menciona en el comentario declara explícitamente que no tienen un portal cautivo , pero use WPA-Enterprise basado en 802.1X:

  

¿Eduroam usa un portal web para la autenticación?

     

No. Portal web, portal cautivo o autenticación basada en pantalla de bienvenida   Los mecanismos no son una forma segura de aceptar credenciales de eduroam ...   eduroam requiere el uso de 802.1X ...

802.1X es el tipo de autenticación que debe ingresar para configurar su máquina para que se conecte a la red, por lo que este caso es el que su política de TI declara explícitamente que permite:

  

si está configurado para que necesite una contraseña para conectarse a la red WiFi (y   esta contraseña le es dada por el establecimiento) una vez más, usted   debería estar bien

De hecho, eduroam parece estar muy bien alineado con su política de TI, ambos desconfían de la "mala seguridad" impuesta por los portales cautivos.

Basado en la edición de la pregunta original:

  

Estoy tratando de conectarme a eduroam, pero no puedo hacerlo usando mi   Ordenador portátil de la organización. Cuando uso una computadora personal, me pide   un nombre de usuario y contraseña, tal como lo solicita una red wifi estándar   contraseña.

Eso me sugiere que la computadora portátil de su organización simplemente no le está pidiendo que se conecte a nuevas redes de la misma manera que su computadora personal. Esto podría ser debido a diferentes sistemas operativos o políticas diferentes aplicadas a las dos computadoras. Es posible que simplemente desee pedir ayuda a su grupo de TI para configurar 802.1X para la conexión a la red eduroam; el uso de esa palabra clave les dejará en claro que está intentando hacer algo que les permita.

Cuando te conectas por primera vez a algunos sitios web, requieren que les des una dirección de correo electrónico, o algún otro dato, antes de poder usar su servicio, esta página se conoce como un portal cautivo.

La computadora portátil de su empresa está configurada de modo que cuando detecta una conexión a Internet, se conecta de nuevo a su VPN corporativa y luego se vuelve a conectar desde allí. En la mayoría de las situaciones, (escenarios 1 y 2 en su pregunta) puede conectarse al wifi con una contraseña, o abrir el túnel de wifi en su VPN corporativo, y luego volver a conectarse, todo lo cual se hace usando el servicio del wifi. te estás conectando.

Sin embargo, en la situación 3, puede aterrizar en una página web del portal cautivo, lo que requiere que ingrese algunos datos primero para poder conectarse. Sin embargo, su computadora portátil está diseñada de tal manera que primero debe conectarse a la VPN corporativa. Lo que significa que no puede conectarse a la VPN porque no ha ingresado ninguna credencial en un portal cautivo, y no puede ingresar la credencial porque todavía no se ha conectado a la VPN.

Esperemos que esto responda a tu pregunta un poco mejor que mi comentario anterior. Deje un comentario aquí y lo actualizaré si tiene más preguntas.

editar: solo para agregar la razón por la cual una empresa podría tener este tipo de configuración es porque pueden garantizar que todo el tráfico pase a través de su VPN y les permita aplicar otras políticas, es decir. Uso aceptable, etc. Consulte la respuesta de @gowenfawr para obtener más información, ya que lo ha explicado muy bien.

Ya existen buenas respuestas en cuanto a la comprensión de la política, pero voy a hablar brevemente sobre la seguridad de eduroam y los perfiles de conexión para asegurar que todas las bases estén cubiertas en términos de la respuesta. He trabajado para dos universidades que ofrecen eduroam y he pasado mucho tiempo trabajando con él.

Eduroam es una red global de universidades y otras instituciones educativas que se unen para permitir que los miembros de una institución accedan a los recursos de la red en otra institución asociada.

La autenticación para eduroam se realiza a través del protocolo 802.1x (con MS-CHAP v2, generalmente la autenticación de fase 2, al menos en mi experiencia). Aquí es donde el AP / Controlador utiliza RADIUS para hablar con el servidor RADIUS en la institución de origen. Suponiendo que todo está bien, el cliente puede conectarse.

El cifrado de los paquetes inalámbricos desde la máquina al AP se realiza con el cifrado WPA2 (por lo tanto, la autenticación 802.1x).

Uno de los problemas más grandes que he visto con los perfiles de conexión de eduroam es cuando el sistema operativo envía automáticamente las credenciales de los usuarios conectados (esto es predeterminado en Windows 7 y más abajo ... Creo que cambiaron esto en Windows 8). También he visto un problema en el que Windows a veces intenta conectarse con la cuenta de la máquina, que generalmente no está autorizada por la Universidad (solo las cuentas de usuario).

Una vez que esté conectado a eduroam, su empresa canalizará los datos a través de su proveedor de VPN. Dependiendo de cómo esté configurada la red de eduroam en la institución a la que está tratando de conectarse, esto puede funcionar o no (el único lugar donde trabajé solo permitió que salieran algunas VPN mientras estaba en eduroam, no todas).

A lo que te refieres se le llama portal cautivo .

Para que este portal se muestre en su navegador web, es necesario que ocurran las siguientes cosas:

1. El enrutador WiFi espera hasta que su computadora realice una solicitud no cifrada (http: //) a un sitio web público.
2. Intercepta esa solicitud
3. Responde suplantando el sitio web al que desea llegar y le envía un redireccionamiento al portal

Esto es algo que parece extremadamente malo para cualquier software de seguridad en tu computadora. Está realizando una solicitud http sin cifrar a un sitio web público a través de una red no confiable y se convierte en víctima de un ataque de hombre en medio. Sí, eres consciente de esto, y solo lo estás haciendo solo para que puedas ver el portal cautivo. Pero los portales cautivos no están estandarizados, por lo que su computadora no puede notar la diferencia.

Si el departamento de TI permitiera este proceso, también le permitirían navegar por Internet a través de una conexión completamente insegura.

En general, estos puntos de acceso Wi-Fi se autentican a través de una dirección MAC . Es decir, después de iniciar sesión a través de su portal cautivo, recuerdan la dirección MAC de Wi-Fi de su sistema. El tráfico de esa dirección MAC se permitirá en su punto de acceso Wi-Fi durante X minutos / horas, dependiendo de su política.

También lo almacenan el tiempo suficiente para que pueda retirarse, regresar, obtener una nueva dirección IP y ser reconocido solo con la dirección MAC. Algunos son vastos. Una vez que presiona "Aceptar condiciones" en Target's , el invitado recuerda su dirección MAC durante años y en todo el país para iniciar.

Entonces, la pregunta es: ¿Cómo podemos encontrar Wi-Fi en una máquina con esa dirección MAC ? Navegue por enlace (o cualquier sitio que no sea HTTPS), redirigido al portal cautivo, satisfaga los requisitos del portal cautivo y obtenga nuestra dirección MAC "recordada" como algo bueno.

Mi pensamiento es usar otro dispositivo que le permita modificar su dirección MAC de manera arbitraria. Desactive la conexión Wi-Fi de la computadora portátil de su empresa y configure su dirección MAC en su otro dispositivo. Úsalo para caminar a través de las pantallas del portal cautivo. Desactive su Wi-Fi y active el Wi-Fi de su computadora portátil de la empresa.

Otra alternativa sería reiniciar su computadora portátil desde una unidad de disco USB, en un sistema operativo no bloqueado, suponiendo que su compañía está de acuerdo con eso.

Está bien, tratemos algunos puntos de tu pregunta.

Las organizaciones a menudo utilizan LDAP y otras metodologías para la autenticación sin contraseña y son aún más seguras.

Una VPN de infraestructura solo permite un rango de IP particular, que se permite mediante la configuración del firewall e iptables para comunicarse con su red interna o intranet. Ahora, realmente obtiene las credenciales o, solo se le permite acceder a esta intranet utilizando una subred / rango de IP a menudo usando solo la red de la empresa a través de la infraestructura VPN como Cisco SSL VPN o Sophos infraestructura VPN.

Espero que esto borre algunas dudas que tenías!

P.S. - El uso de una VPN segura que usa el protocolo IPSec que se implementa de manera segura como la VPN SSL de Cisco para infraestructuras es mucho más seguro que las tradicionales y ofrece una capa profunda de seguridad desde el contexto de un atacante externo que prácticamente no puede acceder a la red sin tener acceso a la infraestructura VPN.

No puedo decir si los administradores de sistemas de su organización lo aceptarán, pero puede sugerirles que hagan una excepción específica en su configuración de VPN para permitir conexiones directas y sin cifrar al sitio web enlace . Todo el propósito de este sitio es ser secuestrado por portales cautivos. Nadie tendrá que visitarlo a través de la VPN corporativa, ya que no sirve para nada, excepto cuando debe permitir que un portal cautivo secuestre una conexión HTTP no cifrada y presente su página de inicio de sesión, y no acepta ninguna información, por lo que nadie puede filtrar datos corporativos de esa manera. El riesgo restante es que el portal cautivo en sí pueda ser malicioso, y ese es un riesgo real, por lo que es posible que no lo acepten. Pero vale la pena intentarlo.

  

¿Por qué no hay una contraseña más segura que un nombre de usuario + contraseña?

Es si usa una clave compartida . Así es como funciona, simplemente se explica.

Tienes una clave segura en tu computadora. El que está intentando iniciar sesión tiene una clave que coincide. Esto permite un inicio de sesión sin contraseña simple, rápido y seguro.

Este enlace trata principalmente de iniciar sesión de forma remota en un servidor remoto a través de ssh, sin ingresar un nombre de usuario y contraseña. Hago eso todo el tiempo cuando necesito conectarme a mi servidor de alquiler de metal en otro estado. Sin duda, es posible hacerlo en tu caso .